Cuidado con las Estafas que Aprovechan la Campaña de la Renta

Ya estamos en plena campaña de la Renta de 2023 y, como todos los años, viene acompañada de estafas que la aprovechan para recopilar datos de los usuarios y robarles su dinero. 

Y no es un asunto menor, porque caer en este tipo de engaños conlleva consecuencias muy negativas. Por eso en este post vas a encontrar información para detectar las estafas que aprovechan la campaña de la Renta, cómo protegerte y cómo actuar en caso de que hayas sido engañado. 

Qué medios utilizan los ciberdelincuentes

Estas estafas las suelen realizar utilizando dos medios diferentes: SMS y correo electrónico.

SMS

▣ Cuando emplean el SMS, envían un mensaje a su víctima potencial en el que se indica que la Agencia Tributaria le va a ingresar una determinada cantidad por la supuesta devolución de impuestos que corresponden a la declaración de la Renta del ejercicio 2023.

▣ También pueden reclamar el pago de impuestos a través de BIZUM, cargos pendientes de pagar por un error en la declaración o incluso asustarte con una denuncia por tickets o facturas falsas. 

▣ Junto con el texto en el que informan de esa devolución, aparece un enlace en el que el destinatario puede consultar esa información o realizar algún tipo de trámite para reclamar el cobro. 

▣ Ese enlace es fraudulento y lleva a una página o formulario en los que se solicitan todo tipo de dato: el nombre, la dirección fiscal, el teléfono, el número de cuenta, el número de tarjeta de crédito (completo, incluidos el CVV, la caducidad e incluso el PIN), etc. 

▣ Una vez que se han hecho con esos datos, lo que harán es utilizarlos directamente o venderlos. En cualquier caso, el fin último es emplearlos para suplantar la identidad de esa persona, robar el dinero de sus cuentas, hacer compras en su nombre y realizar cualquier otro tipo de actividades delictivas en su nombre.

Correo electrónico

▣ En el caso de los fraudes a través del correo electrónico los delincuentes envían un mensaje más elaborado que cuando se trata de un SMS, aunque siguen haciéndose pasar por Hacienda. 

▣ Algunos correos son realmente sofisticados, porque incluyen una dirección válida, identificadores que parecen legítimos, un texto complejo y bien diseñado y una terminología que puede pasar por la que usa la AEAT. 

▣ Otros mensajes no son tan realistas, además de que podrás comprobar que la denominación de los departamentos que mencionan, así como los términos no son los que emplea la Agencia Tributaria en España. 

▣ Podrás encontrar diferentes ganchos. Unos indican que tienes una comunicación importante y que debes responderla en un plazo (corto), porque se trata de una notificación final. Otros te avisan de que hay irregularidades con tus obligaciones tributarias. Otros te informan de que tienes que pagar por discrepancias en tu declaración, mientras que otros te prometen un pago. 

▣ Normalmente incluyen un enlace que te dirigirá a una web fraudulenta en la que te solicitarán todo tipo de datos. Aunque en otros casos adjuntan archivos que tienes que descargarte y que contienen malware.

Cómo protegerte

▣ Si has hecho tu declaración de la Renta 2023, sabrás cuál ha sido su resultado. Si te ha salido a pagar y recibes un mensaje en el que te informan de una devolución, deberías desconfiar automáticamente. Y si las cantidades no concuerdan, especialmente si la diferencia es a tu favor, también deberían saltar todas tus alarmas.

▣ Y si no has presentado tu declaración, porque no estás obligado, evidentemente una comunicación de devolución en concepto del IRPF no tiene ningún sentido. 

▣ También es conveniente que compruebes si el teléfono al que te han enviado el SMS se lo has facilitado a Hacienda en algún momento. O si la dirección de correo electrónico es la misma a la que te han enviado otras comunicaciones anteriormente o incluso si se la has facilitado o no a la AEAT alguna vez. 

▣ Fíjate en la ortografía y la gramática, porque suelen ser descuidadas.

▣ Comprueba también que la terminología utilizada es la misma que suele enviar la AEAT cuando se comunica contigo. 

Cómo actuar si has sido víctima de estas estafas

▣ Mantén la calma y no te sientas culpable, es algo que le puede ocurrir a cualquiera, porque estas estafas cada vez son más sofisticadas. 

▣ Realiza capturas de pantalla de los SMS fraudulentos para posteriormente utilizarlos como prueba, así como pantallazos de la web fraudulenta a la que te hayan remitido.

▣ Guarda los correos electrónicos que te hayan enviado suplantando a la Agencia Tributaria. 

▣ Recurre a la Línea de Ayuda en Ciberseguridad del INCIBE para notificar el fraude y para solicitar ayuda. 

▣ Comunícate con la AEAT para informarle del fraude. Puedes hacerlo a través de un formulario que ponen a tu disposición para que reportes phising, smishing y otros fraudes. 

▣ Consulta algunos de los ejemplos de fraudes relacionados con la Renta 2023 que pone a disposición de los ciudadanos la Agencia Tributaria. 

▣ Denuncia tu caso ante las Fuerzas y Cuerpos de Seguridad del Estado. 

▣ Comprueba tus cuentas bancarias, el estado de tus tarjetas de débito o crédito, tu actividad fiscal y tu presencia en Internet cuando te des cuenta de que has caído en la estafa y también después. 

▣ Si has dado tu número de tarjeta de crédito, ponte en contacto con tu banco para cancelarla inmediatamente. Y también deberías consultar con tu banco qué hacer en caso de que hayas facilitado el número de cuenta corriente. 

▣ Y en caso de que no hayas entrado en el enlace, es importante que bloquees al remitente, eliminándolo de bandeja de entrada. También deberías comunicarlo a la Línea de Ayuda en Ciberseguridad. 

Espero que esta información te ayude a protegerte de estas estafas que aprovechan la campaña de la Renta, que ya de por sí es un trance desagradable para la mayoría de ciudadanos. 

Post relacionados:

Atención a las Estafas de Suplantación de Voz

Estafas de Entregas de Paquetes: Estate Muy Alerta

Estafas Comunes en WhatsApp y cómo Evitarlas

Qué Es el Smishing y cómo Protegerte de esta Amenaza

Qué Es el Vishing y cómo Protegerte

La primera vez que apareció el post Cuidado con las Estafas que Aprovechan la Campaña de la Renta fue en el blog de Todos Somos Clientes. 

Cuidado con las estafas que aprovechan la campaña de la Renta by 1 de N de las Tecnologías de la Información - Arancha Moreno is licensed under CC BY-NC-ND 4.0

Qué Son las Estafas del Amor y cómo Protegerte

Las estafas en Internet son cada vez más numerosas y sofisticadas, de eso no hay ninguna duda. Algunas de ellas son novedosas, mientras que otras llevan años en circulación, aunque se van  transformando y refinando de forma perversa con el paso del tiempo.

Una de estas estafas aprovecha la necesidad de compañía, amistad o amor de muchas personas que los buscan activa o pasivamente a través de Internet. Y lo hacen en aplicaciones de citas, en redes sociales, chats, foros, etc. Este tipo de fraude se conoce como estafa del amor o románticas o romace scam. Si quieres saber más acerca de estas estafas del amor, cómo detectarlas y protegerte, te invito a que sigas leyendo...

En qué consisten

▣ Esta estafa comienza con un ciberdelincuente (en algunas ocasiones redes perfectamente organizadas) que crea un perfil falso y que lo utiliza para contactar con una víctima con el fin de ganarse primero su confianza y luego hacer que crea que mantienen una relación sentimental. Una vez que han conseguido seducir a su presa, la engañan para luego desaparecer sin dejar rastro. 

▣ En engaño suele consistir en pedirle dinero o información bancaria con diversas excusas. Aunque también puede tener como finalidad hacerse con datos sensibles, con fotos o imágenes para luego comerciar con ellos o para extorsionar a la víctima. Y en otras lo que persiguen es llegar a traficar con esa persona o incluso prostituirla. 

▣ Son estafas realmente crueles, porque utilizan la necesidad de afecto para captar a sus presas, algo que añade un golpe cruel al robo o el chantaje. Y qué decir si lo que se pone en riesgo es la seguridad y la libertad de la persona.

Motivaciones

Económicas 

Utilizan todo tipo de artimañas para hacerse con tu dinero. En algunos casos comienzan estableciendo una relación a través de Internet con su víctima, que se convierte en romántica e intensa rápidamente. Una vez que han establecido un vínculo fuerte, piden dinero con todo tipo de excusas: son militares que están en un misión en el extranjero y necesitan dinero por motivos de salud o porque no pueden acceder a sus cuentas desde su destino, necesitan financiación para un negocio que tendrá éxito asegurado, tienen que pagar a abogados para reclamar una suculenta herencia y no tienen fondos, les hace falta comprar un billete para conocer al amor de su vida y no pueden acceder a sus cuentas por uno y otro motivo... 

Robo de datos

Una vez que ya ha comenzado la relación, el estafador puede enviarle a su objetivo enlaces con su web, su blog o sus perfiles (falsos) en redes sociales. Esos enlaces no son legítimos y su única finalidad es instalar malware en el equipo del estafado, con el fin de robar datos, suplantar su identidad, hacerse con el control de su equipo, extorsionarle o desplumarle. 

En otras ocasiones, al saber qué plataforma o aplicación utiliza la víctima para relacionarse con el victimario, le envían un falso mensaje en el que les solicitan verificar la cuenta o actualizar sus datos. Para que acceda rápidamente y sin pensar a facilitar todos los datos que le soliciten, le amenazan con no poder volver a usar la cuenta y no poder volver a comunicarse con su ciberamor, algo que les aterra. 

Extorsión

El delincuente, una vez que ya han enamorado a su víctima, le piden mantener una relación íntima en línea. Pueden sugerir que les envíe una foto o un vídeo sin ropa o realizando alguna actividad de carácter sexual. No suele haber intercambio de fotos o imágenes por parte del estafador, siendo la persona estafada la única que envía este material. Una vez que está en poder del ciberdelincuente, amenazará a la víctima con hacer público el contenido erótico o pornográfico o compartirlo con su familia, amigos o incluso con compañeros de trabajo, a menos que pague una cantidad. Y esa cantidad inicial no será la única, porque seguirá exprimiendo a su objetivo hasta arruinarlo por completo. 

Prostitución y tráfico de personas

En los casos más extremos, el estafador envuelve a la persona, generalmente mujeres muy jóvenes o incluso adolescentes, en un enamoramiento que parece de cuento de hadas. Una vez que está completamente subyugada la convence para prostituirse (por amor) tanto de forma física como a través de Internet, quedándose con todas sus ganancias y llegando a una relación de sumisión o miedo. 

También pueden emplear el mismo método para captar a mujeres y adolescentes para servir como esclavas sexuales o esposas forzadas, generalmente lejos de sus países de origen. O incluso para ser utilizadas para el tráfico de drogas y de otras actividades ilegales. 

Señales que deben hacer saltar todas tus alarmas

▣ Si no se trata de una aplicación de citas, alguien a quien no conoces se pone en contacto contigo con un mensaje inicial en el que te adula (normalmente de forma muy burda) y te pide mantener una relación de amistad.

▣ Los textos suelen tener una redacción extraña: ortografía y gramática deficientes (en ciertos casos puede ser voluntaria para parecer que se trata de un extranjero), está llena de halagos (sin motivo, puesto que no conoce a su interlocutor), hay un uso excesivo de emoticonos (normalmente cursis y/o marcadamente romántico)... Por cierto, ese mismo texto te lo pueden enviar a través de diferentes perfiles. 

▣ La relación inicial de amistad se convierte en romántica enseguida, siempre por parte del estafador.

▣ El estafador suele tener un perfil sumamente atractivo, en sus fotografías (generalmente pocas), su historia personal, en su trabajo o sus publicaciones.

▣ Las publicaciones, si la estafa se va a materializar desde redes sociales, son pocas y casi impersonales. 

▣ Enseguida te piden abandonar la plataforma de citas o la red social para que os comuniquéis por otra vía más íntima y personal. De esa forma consiguen cierto anonimato y burlar los posibles controles de los administradores de esos servicios. 

▣ Evitan el contacto personal con todo tipo de excusas (viven en el extranjero, tienen problemas familiares, su trabajo no se lo permite, no les funciona la webcam...). Eso implica que no van a acudir a ninguna cita, no van a participar en ninguna videollamada, incluso puede que rechacen hablar por teléfono. 

Cómo actuar

▣ Nunca aceptes solicitudes de personas a las que no conoces de nada.

▣ Una vez que hayas rechazado la solicitud, lo mejor que puedes hacer es bloquear a ese perfil. 

▣ Si usas aplicaciones de citas, procura que sean confiables.

▣ Mantén las comunicaciones con esa persona a través de la aplicación de citas y no permitas que lleve la relación al correo electrónico, teléfono o mensajería instantánea.

▣ No facilites datos personales a nadie o reduce esa información al mínimo, sobre todo a alguien que no conoces o con el que acabas de establecer una relación. 

▣ Desconfía de aquellos que te piden mucha información y apenas cuentan nada sobre ellos. O por el contrario, de los que cuentan historias que son dignas de un guion de Netflix. 

▣ No envíes fotos ni vídeos a cualquiera, sobre todo si es un contacto reciente. Y evita por todos los medios aquellos que sean de carácter íntimo o comprometedor, porque pueden utilizarlos para chantajearte. 

▣ Haz una búsqueda inversa de las fotos del perfil y las publicaciones de la otra persona, para verificar si son legítimas o si hay algo extraño en ellas. 

▣ Desconfía de los perfiles con poca información o que sea poco creíble. 

▣ Googlea a esa persona para averiguar más acerca de quién es. Hazlo utilizando su nombre o alias, añadiendo los términos "estafador", "estafa", "timo", "scammer"...

▣ No sigas enlaces que te envíen desconocidos o contactos recientes, ni tampoco aquellos que hayan publicado en sus biografías, porque pueden llevarte a sitios ilegítimos o a descargas de malware. 

▣ No envíes dinero a nadie que no conozcas personalmente, que un contacto reciente o que te lo pida a través de Internet. Habitualmente te sugerirán medios de pago difícilmente rastreables como servicios de envío de dinero, tarjetas de regalo, transferencia de criptomonedas, etc. 

▣ Si finalmente vas a conocer en persona a alguien que has conocido online, procura hacerlo en un lugar público y en el que te sientas seguro, a una hora prudencial y comunicándole a personas de tu confianza con quién, dónde y cuándo has quedado. Y jamás viajes en solitario a otro país para conocer a la otra persona, especialmente si se trata de lugares potencialmente peligrosos y en los que no tengas una red de seguridad sólida (familia, amigos, conocimiento del idioma y las costumbres, notificar tu presencia a la embajada o el consulado...).

▣ Si piensas que has caído en una estafa de este tipo, procura recopilar información y datos que te puedan servir como prueba que puedas presentar una vez que denuncies. 

Puede que tú no seas vulnerable a este tipo de ataques por tu carácter, tu formación o tu experiencia, pero eso no significa que no haya personas cercanas a ti que sí lo sean, por lo que conviene conocerlos y ayudar a ponerles freno. 

Post relacionados:

Mucho Ojo con las Estafas en Internet

Estafas Comunes en WhatsApp y Cómo Evitarlas

Atención a las Estafas de Suplantación de Voz

Así PUedes Evitar las Estafas al Comprar un Vehículo de Segunda Mano

La primera vez que apareció el post Qué Son las Estafas del Amor y cómo Protegerte fue en el blog de Todos Somos Clientes. 

Qué son las estafas del amor y cómo protegerte by 1 de N Tecnologías de la Información - Arancha Moreno is licensed under CC BY-NC-ND 4.0

Cómo Evitar el Robo de Identidad (o al Menos Intentarlo)

El robo de identidad en Internet es un delito cada vez más frecuente, que acarrea penosas consecuencias a las víctimas. Los ciberdelincuentes utilizan técnicas que se van sofisticando y perfeccionando rápidamente, además de aprovechar la ingenuidad o la negligencia de los usuarios de Internet. 

Precisamente porque este tipo de ataques es muy peligroso, es necesario saber en qué consiste el robo de identidad, qué debe hacerte sospechar, cómo evitarlo y qué hacer si te sucede. 

Qué es

▣ El robo de identidad consiste en que alguien se haga pasar por su víctima con la finalidad principal de obtener un rendimiento económico.

▣ Normalmente este fraude consigue suplantar a otro porque ha conseguido su nombre y apellidos, documento de identidad, el número de la seguridad social, datos fiscales, información sobre tarjetas bancarias o cuentas corrientes, contraseñas, códigos de acceso... Esta información se puede conseguir a través de phishing, de malware, pero los delincuentes también pueden obtenerla de la propia víctima, ya sea porque la comparte en redes sociales o porque acepta cookies sin criterio o introduce sus datos en cualquier web que se las solicite. 

Qué te debe hacer sospechar

▣ Compras, transferencias y otras operaciones bancarias que no has realizado.

▣ Cargos en tus tarjetas de crédito o débito que no corresponden a transacciones hechas por ti. 

▣ Denegación de préstamos sin que en principio la entidad bancaria tenga motivos para hacerlo. 

▣ Notificaciones de deudas que no has contraído, incluso llamadas de empresas de recobros. 

▣ Información por parte de Hacienda de duplicados de impuestos o de deudas fiscales.

▣ Facturas que te llegan por compras que no has hecho o por servicios que no has contratado. 

▣ Facturas que no recibes cuando antes te llegaban de forma puntual a tu buzón o a tu correo.

▣ Mensajes electrónicos, SMS o a través de mensajería instantánea que antes te enviaban tus proveedores y ahora no recibes, a pesar de no haber rescindido la cuenta o el servicio. 

▣ Notificaciones de inicio de sesión con tus cuentas de correo electrónico, redes sociales, bancos y cualquier otro servicio. 

Cómo evitarlo

▣ No compartas más datos de los estrictamente necesarios. Ni en Internet, ni tampoco en encuestas en la calle o por teléfono.

▣ Ojo con los datos, porque incluso los más nimios pueden completar lo que el ciberdelincuente necesita para robar tu identidad. Desde el nombre de tus mascotas al colegio al que fuiste en tu niñez pueden servir para apuntalar esa suplantación. 

▣ En caso de que en alguna web, plataforma o aplicación te soliciten datos que no sean imprescindibles para la prestación del servicio, no los proporciones. Es mejor recurrir a otro proveedor que arriesgarse a que tengan más información de la cuenta sobre ti. 

▣ Procura que los sitios en los que vayas a introducir información personal sean seguros.

▣ Antes de introducir datos en una web, cerciórate de que es la legítima y no otra que se está haciendo pasar por ella. Y, por supuesto, no sigas ningún link que te llegue a través de email, SMS o mensajería instantánea que supuestamente te dirija a tu banco, a Hacienda, a la Seguridad Social, etc. 

▣ Evita compartir datos relevantes a través de correo electrónico, mensajería instantánea o redes sociales, porque su seguridad no siempre es la deseable. Así que no envíes tu número de tarjeta de crédito, tu cuenta corriente, etc. 

▣ Cierra todas las cuentas que ya no utilices, porque so más fáciles de piratear.

▣ Cifra los documentos que contengan información sensible.

▣ Utiliza contraseñas, pines y códigos de acceso lo más seguros posible. Y evita compartirlos con nadie. 

▣ Evita las WiFi públicas.

▣ Utiliza una VPN (Virtual Private Network). 

▣ Instala un antivirus.

▣ Emplea un sistema de autenticación en dos pasos siempre que puedas. 

▣ Evita los cargadores públicos. 

▣ Mantén el software actualizado.

▣ Rechaza las cookies por defecto. Puede que en algún caso sea necesario que las aceptes, porque no puedes prescindir del servicio, pero cuantas menos cookies tengas en tu dispositivo, mejor para tu seguridad y tu privacidad. 

▣ Elimina las cookies de tu navegador con cierta frecuencia, para que no puedan recopilar más información de lo recomendable.

▣ Revisa tu actividad bancaria con mucha frecuencia, porque es la única forma de detectar a tiempo los movimientos inusuales. 

▣ Evita enviar tu documento de identidad escaneado a cualquiera que te lo pida. Si tienen otros datos junto con la copia de tu DNI, los ciberdelincuentes tendrán el campo libre para estafarte todo tu dinero. Tampoco deberías facilitar escaneadas tus tarjetas bancarias o sanitarias, las de acceso a tu trabajo o el carnet de conducir. 

▣ Cuida tu privacidad en las redes sociales, y evita publicar información sensible.

▣ No aceptes a contactos en redes sociales a los que no conozcas. 

Qué hacer

▣ Contactar con el proveedor o la plataforma en la que te han suplantado. 

▣ Si tienes la sospecha de que te han robado la identidad para operar con tu banco, comunícaselo lo antes posible.

▣ Anula tus tarjetas bancarias. 

▣ Denúncialo ante la Policía o la Guardia Civil. 

Espero que estos consejos te hayan parecido interesantes y que te ayuden a evitar un robo de identidad.

 

Post relacionados:

20 Consejos para Evitar el Robo de Identidad (I)

20 Consejos para Evitar el Robo de Identidad (II)

Cómo Descubrir si una Página Web es Fraudulenta

La primera vez que apareció el post Cómo Evitar el Robo de Identidad (o al Menos Intentarlo) fue en el blog de Todos Somos Clientes.

Cómo evitar el robo de identidad (o al menos intentarlo) by 1 de N Tecnologías de la Información - Arancha Moreno is licensed under CC BY-NC-ND 4.0

Asuntos de Emails (Reales) que Deben Hacer Saltar Todas Tus Alarmas

A lo largo de varias semanas he estado recopilando asuntos de correos que han ido llegando a mi bandeja de entrada y que esconden claramente intentos de hacerse con mi información o con el control de mis dispositivos, de robar mi dinero, de suplantar mi identidad o de chantajearme. Quiero compartirlos aquí para que puedan servir de aviso a navegantes, porque cada vez son más en cuanto a cantidad y a calidad. Muchos de ellos son realmente creíbles, por lo que debemos estar cada vez más alerta ante cualquier correo electrónico que recibimos. 

Ante la duda, investiga si el mensaje es legítimo o no. Y si no eres capaz de comprobar si lo es o no, es mejor borrarlo de tu bandeja antes que abrirlo, hacer clic y que el daño sea irreparable.

Acompáñame y encontrarás algunos asuntos (totalmente reales) de emails que deberían hacer saltar todas tus alarmas.

Cuentas de correo

Son mensajes en los que te informan de problemas con tu cuenta de correo electrónico y en las que te anuncian que está suspendida o que te la van a desactivar o que tienes que verificar o actualizar tu contraseña.

▣ Su cuenta ha sido suspendida temporalmente

▣ Tu password expira hoy (en español y en inglés)

▣ Se requiere verificación inmediata de su dominio (dominio real). Tanto en español como en inglés.

▣ Admin: Por favor, valide su dirección de correo electrónico

▣ Aviso de desactivación de correo electrónico (dirección de email)

Mensajes no entregados

Te informan de que hay mensajes que te han enviado, pero que no se te han entregado, de modo que si deseas recuperarlos tienes que realizar alguna acción que desembocará en que les abras la puerta de los ciberdelincuentes a tu correo (o a toda tu información en el peor de los casos). 

▣ Tienes X mensajes pendientes de entregar en tu bandeja (dirección de email) Y en el texto del interior remiten a varios correos también fraudulentos a la vista de su asunto. Lo que buscan es que pinches en cada enlace para visualizar esos supuestos correos no entregados.

▣ Atención (dirección del correo): tienes x mensajes no entregados. Para liberar y ver el contenido del mensaje, haga clic en el siguiente enlace.

Almacenamiento

Te asustan informándote de que ya no tienes espacio de almacenamiento suficiente, por lo que tendrás que seguir sus (malintencionadas) instrucciones… y ya sabemos lo que eso implica.

▣ ¡Has alcanzado tu límite de almacenamiento!

▣ Tu almacenamiento de iCloud está lleno

▣ Reciba un almacenamiento en la nube adicional de 50 GB

Virus

Te informan de que se ha detectado un virus, de modo que debes actuar rápidamente. Y esa acción a la que te empujan les permitirá introducir malware en tu equipo, hacerse con su control y/o robarte toda tu información. 

▣ Virus sospechoso detectado – Protección antivirus

▣ Virus Detectado: ¡Actúe ahora para proteger su PC! - Protección Antivirus

Supuesto hackeo de tu cuenta

Te van a intentar chantajear haciéndote creer que te han hackeado tu cuenta o que se han hecho con sus datos. Te piden un pago para devolverte el control de tu equipo y no hacer públicos unos supuestos asuntos escabrosos tuyos de los que afirman tener conocimiento. Es muy habitual que digan que tienes en tu poder archivos delictivos o que te han grabado con la cámara realizando ciertos actos inapropiados. 

▣ Se han filtrado sus datos personales debido a ciertas actividades en sitios sospechosos

▣ Esperando pago (y luego un texto diciendo que tienen control total sobre tus cuentas y dispositivos y que te han estado vigilando, que supuestamente han averiguado asuntos delicados sobre ti y te chantajean)

▣ Esperando su pago. Usted ha sido invadido

▣ En espera de su pago. Le informo de que ha sido invadido

▣ Esperando su pago. Usted ha sido vulnerado

Comunicaciones de entidades bancarias

Se hacen pasar por una entidad bancaria. En algunos casos coincidirá con los bancos o cajas con las que trabajes y en otros no, porque dependerá de si el intento de ataque está dirigido o es masivo para ver si pescan a incautos por casualidad. Ojo, porque antes eran mensajes muy burdos, plagados de errores de diseño y de redacción, pero estas comunicaciones cada vez son más creíbles. Ante la duda, llama directamente (con el teléfono que ya conoces) a tu entidad. 

▣ Justificante de pago (de algún banco)

▣ Nuevo mensaje importante! (el remitente es un banco conocido, que te informa de una nueva actualización)

▣ Su cuenta está en riesgo de ser desactivada – Oficina (banco X)

▣ Su asesor le ha enviado un mensaje importante -  (el emisor es un banco)

▣ Alerta de crédito – (el emisor es un banco conocido)

Facturas y presupuestos

Cada vez son más frecuentes las comunicaciones en las que te piden que pagues facturas o que les envíes presupuesto. Mucho cuidado con esto, porque en ocasiones se hacen pasar por empresas legítimas y es fácil caer. Si no has comprado productos o no has solicitado un servicio, no tiene sentido que te reclamen una factura. Y ante las peticiones de presupuesto, comprueba el remitente y la redacción del correo. Si tienes dudas, busca en Internet el contacto de la empresa y averigua si la petición de presupuesto es real. 

▣ Su factura (mes en curso)/2023 está disponible con vencimiento el día XX – Dept. Facturación

▣ Avviso-factura impagada (así, con falta de ortografía)

▣ Solicitud de cotización urgente

▣ Solicitud de cotización urgente

Comunicaciones de Hacienda

Las comunicaciones que se remiten de forma fraudulenta en nombre de la Agencia Tributaria cada vez son más habituales, por lo que debes tener muchísimo cuidado. Lee con detenimiento el texto y verifica si es real o no. Verificar si lo son o no es fácil, puesto que Hacienda pone a disposición de los administrados las comunicaciones y notificaciones a través del Servicio de Notificaciones Electrónicas. Si entras y no tienes nada similar a lo que menciona el correo, sabrás inmediatamente que es falsa. 

▣ Agencia Tributaria NOTIFICACION POSTAL

▣ Cambios en las retenciones de IRPF para profesionales: lo que debe saber (incluye un pequeño texto introductorio y un enlace a un formulario de verificación)

Este es uno de los que realmente estuvo a punto de engañarme, porque está realmente bien elaborado

Multas y comunicaciones judiciales o policiales

Las comunicaciones multas las puedes consultar directamente en la Dirección General de Tráfico, así que si te llega un mensaje con este asunto, lo mejor que puedes hacer es recurrir a la DGT. En el caso de citaciones y comunicaciones judiciales o policiales, mi consejo es que leas cuidadosamente el texto, porque en muchos casos utilizan una terminología que no es la utilizada en España (si resides en otro país, fíjate en la que se usa allí) o si la información es muy generalista o muy vaga.

▣ Multa no pagada – bloque de vehículos – Administración de infracciones XXXXX

▣ Convocatoria Aviso de citación electrónica (nº de citación)

▣ Informe policial emitido ID: (XXXXX) – Policía Nacional (incluyen un nº de identificación)

Ni la terminología ni el formato se usan en España, por lo que es fácil darse cuenta del engaño

Envíos y paquetes

Este tipo de mensajes abundan, aprovechando que las compras on-line son muy frecuentes. Verifica si estás esperando un envío, el remitente, la mensajería, etc. Si no has comprado nada que tenga que pasar aduanas, no tiene sentido que te reclamen el pago de tasas. 

▣ Tienes un paquete esperando – Correos.es

▣ Tienes (1) paquete a la espera de información. Centro de distribución.

▣ Entrega pospuesta, ¡tome medidas ahora! – Conocimiento del paquete

▣ No devuelva su paquete, pague ahora los derecho de importación – Actualización de la entrega

▣ Paquete de valor en la aduana

▣ Dirección General de Aduanas e Impuestos Indirectos

▣ Entrega reprogramada nº XXXXX – Conocimiento del paquete

▣ El pedido nº XXXXX se ha retrasado – Mensaje importante

▣ No han pagado los gastos de transporte (incluso en algunos casos indican la cantidad exacta)

Facebook

Cada vez llegan más correos en los que intentan suplantar a Facebook, pidiéndote que realices alguna acción sobre tu cuenta. Incluso te informan de supuestas menciones, algunas en las que afirman que has infringido sus normas y que intentan que hagas clic en sus enlaces. 

▣ XXXXXX es el código de recuperación de tu cuenta en Facebook - Facebook

▣ Consulta quién ha mencionado tu página (suplantando a Páginas de Facebook)

Netflix

Si no tienes cuenta en esta plataforma, no caerás en este intento de ataque. Pero si la tienes, debes tener mucho cuidado con este tipo de mensajes. 

▣ Tu cuenta de Netflix ha expirado – Membresía de Netflix

Llamando tu atención

Te envían correos en los que utilizan un asunto atractivo e intrigante para que entres en el enlace que adjuntan. Si no conoces al remitente, o incluso si procede de un contacto de tu agenda, es mejor que no hagas caso. Ten en cuenta que pueden haber accedido a tu agenda o a la de un contacto tuyo y suplantarle como remitente. 

▣ Espero que estés disfrutando de un bonito día. (En el cuerpo pone: ¿Habías visto algo así? Y un enlace)

Premios y sorteos

Si nunca has participado en sorteo, no tienes ningún sentido que hayas ganado nada. E incluso si lo has hecho, verifica que el mensaje procede del remitente, que es coherente, que tiene una redacción correcta, que el diseño del logo y de la imagen corporativa de la empresa que dice remitirte el correo es la adecuada…

▣ Ha ganado un Ninja Air Fryer – Envío de Lidl

▣ Queremos recompensarte por tu fidelidad - Mensaje de LIDL

▣ Has ganado un Samsung Galaxy S23 Ultra – Recompensas de FNAC

▣ Samsonite Proxis Suitcase – Envío pendiente – Ganador de FNAC

Curioso email, cuando no soy habitual (ni esporádica) de establecimiento

¿Sueles recibir correos con este tipo de asuntos y contenidos?

Post relacionados:

Cómo Usar el Correo Electrónico de Forma Segura

Usa el Correo Electrónico del Trabajo de Forma Segura

Cómo Descubrir si una Página Web es Fraudulenta

Cuidado con las Ofertas de Trabajo Fraudulentas

Cuidado con las Ofertas de Trabajo Fraudulentas (II)

La primera vez que apareció el post Asuntos de Emails (Reales) que Deben Hacer Saltar Todas Tus Alarmas fue en el blog de Todos Somos Clientes.

Asuntos de emails (reales) que deben hacer saltar todas tus alarmas by 1 de N Tecnologías de la Información - Arancha Moreno is licensed under a Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional License.

Qué es el Spear Phishing y Cómo Defenderte de este Tipo de Ataques

Los ataques en Internet son cada vez más frecuentes y más elaborados. Y ninguno de nosotros está libre de ser objetivo de los cibercriminales. Por lo que conviene conocer cuáles son las amenazas que se esconden en la Red y cuáles son las medidas que podemos adoptar.

Uno de los ataques más elaborados de los que deberías protegerte es el spear phishing.  Con toda seguridad has oído hablar del phishing, incluso puede que lo hayas sufrido, pero esta modalidad es todavía más peligrosa.

Qué es el spear phishing

▣Es un ataque que en algunos aspectos es similar al phishing, aunque precisamente lo que lo diferencia de ese tipo de ataques es lo que lo hace tan letal: la personalización.

▣Detrás del spear phishing hay un trabajo de investigación acerca de la posible víctima detrás. Procuran recopilar la mayor cantidad de datos posible sobre su objetivo, para que la comunicación que le envíen sea tan personalizada que parezca legítima. De ahí su la traducción del término, pesca con lanza, en lugar del phishing, que pretende pescar incautos con red. Es un ataque dirigido, no aleatorio.

▣Para conseguir esa información acerca del objetivo consultan webs corporativas, bases de datos (conseguidas de forma legal o ilegal), redes sociales... Incluso pueden llegar a realizar llamadas telefónicas con cualquier excusa para recopilar datos sobre la persona o la empresa. 

▣Incluso pueden llegar a buscar información en el mundo off-line, buscando en la basura o los contenedores de reciclaje extractos bancarios, recibos, facturas, correspondencia, informes, etc.

Quién está detrás

▣Detrás de estos ataques de spear phishing puede haber piratas o activistas informáticos que busquen llegar hasta la cuenta corriente de su víctima o para chantajearla, pero también buscan información para venderla a otras empresas y organizaciones. En algunos casos, detrás de esta forma de actuar se pueden encontrar grandes corporaciones o gobiernos (y no es conspiranoia).

Quiénes son sus objetivos

▣Sus objetivos suelen ser empresas, organismos públicos y privados e incluso a las diferentes Administraciones. Las personas tampoco están libres de este tipo de ataques. 

▣En el caso de las empresas, organismos y de la Administración el objetivo es un empleado a través del cual se producirá el ataque, que será su puerta de entrada.

▣En otras ocasiones el objetivo específico es un gran empresario o dirigente, y en ese caso se denomina whaling.

Qué buscan

▣Sus objetivos son dos: robar información e instalar malware.

▣Los datos que consiguen robar pueden servir para acceder a sus cuentas bancarias o a otra información financiera, para hacerse con información confidencial empresarial o personal, para acceder a servicios en nombre del objetivo, para extorsionar...

▣Si lo usan para hacerse con el control del dispositivo/s de la víctima, podrán acceder no sólo a la información, sino a la cámara, al micrófono y a otras funciones más o menos delicadas... 

Cómo funciona el ataque

▣Se hacen pasar por entidades bancarias, por Administraciones u Organismos Públicos, por empresas, por proveedores, por clientes, por clubes o asociaciones a los que pertenece la víctima, por partners, por compañeros de trabajo, por amigos o incluso por familiares. 

▣El ataque está diseñado cuidadosamente para generar confianza de manera automática en la persona que lo recibe. Al tener tanta información sobre la víctima son capaces de suplantar con bastante éxito cualquier mensaje legítimo.

▣El asunto y el cuerpo del mensaje están destinados a llamar la atención del destinatario. 

▣Normalmente se realiza a través del correo electrónico, aunque también pueden utilizar otros medios como el SMS, mensajes instantáneos, códigos QR, redes sociales e incluso mensajes de voz. 

Cómo evitarlo

▣Utiliza el sentido común ante todo.

▣No publiques mucha información personal en redes sociales, especialmente la que puede ser más sensible. 

▣Revisa cada correo y cada mensaje de forma exhaustiva, fijándote en su remitente, en el asunto, en la redacción, en la ortografía, en el estilo, en el logotipo... Y aún así puede ser una tarea complicada, porque es el spear phishing todo esto se suele cuidar bastante, de modo que no suele resultarle extraño al destinatario.

▣Mucho ojo con las URL extrañas, muy largas o crípticas. Los remitentes reales suelen tener direcciones web muy reconocibles.

▣Evita abrir los enlaces que aparezcan en los mensajes directamente. Es mejor que copies la dirección con el botón derecho de tu ratón y la pegues en tu navegador, comprobando si es legítima o no antes de entrar en ella. 

▣A la hora de descargar un archivo, procura comprobar su extensión y si lo que te envían tiene lógica.

▣Desconfía de peticiones inusuales o que no tengan mucha lógica. 

▣Ante la duda, ponte en comunicación con el remitente (el real) que figura como emisor de la comunicación. Y hazlo a través de la dirección de correo electrónico o número de teléfono que tienes en tu agenda, no los que figuran en el mensaje, para comprobar si realmente te han enviado algo. 

▣Y, por supuesto, mantén el software actualizado, cuenta con un buen antivirus y un antimalware, usa contraseñas fuertes (y no uses siempre la misma ni las compartas con nadie) y otros buenos hábitos similares. 

Post relacionados:

Guía Básica sobre el Malware que Debes Conocer

Consejos Básico para Protegerte del Ransomware

Phishing: Evita Morder el Anzuelo

Qué Es el Vishing y cómo Protegerte

La primera vez que apareció el post Qué es el Spear Phishing y Cómo Defenderte de este Tipo de Ataques fue en el blog de Todos Somos Clientes. 

Qué es el "Spear Phishing" y cómo protegerte de este tipo de ataques por 1 de N Tecnologías de la Información - Arancha Moreno se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-SinDerivadas 4.0 Internacional.